La plupart des sites Web utilisent désormais https et le blocage des sites Web https est beaucoup plus difficile avec la version de MikroTik RouterOS inférieure à 6.41. Mais à partir de RouterOS v6.41, MikroTik Firewall introduit une nouvelle propriété appelée Hébergement TLS t qui est capable de faire correspondre très facilement les sites Web https. 

Par conséquent, bloquer les sites Web https comme Facebook, YouTube, etc. Cela peut être facilement réalisé avec MikroTik Router si la version de RouterOS est supérieure à 6.41. 

Filtrage basé sur les noms d'hôtes

Vous pouvez utiliser « tls-host » dans les règles de pare-feu pour filtrer le trafic en fonction des noms d'hôte plutôt que des adresses IP. Cela peut être bénéfique si les adresses IP des serveurs avec lesquels vous communiquez sont susceptibles de changer et que vous préférez utiliser des noms d'hôte qui restent constants.

/ip pare-feu filtre ajouter chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept

Dans cet exemple, la règle autorisera le trafic TLS sortant vers le port 443 destiné à « exemple.com ».

Gestion des certificats et des noms d'hôtes

En utilisant l'option « tls-host », vous pouvez faciliter la gestion des certificats SSL/TLS sur votre réseau. Si les certificats changent ou sont renouvelés et que le nom d'hôte reste le même, vous n'aurez pas besoin de mettre à jour les règles de pare-feu avec de nouvelles adresses IP.

Réduire la dépendance aux adresses IP fixes

Dans certains cas, notamment lors de l'interaction avec des services hébergés dans le cloud ou avec des fournisseurs de services susceptibles de modifier les adresses IP attribuées, l'utilisation de « tls-host » fournit une couche d'abstraction qui réduit la dépendance aux adresses IP fixes.

/ip pare-feu filtre ajouter chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept

Ici, le trafic TLS sortant vers le port 8443 destiné à «cloud-service.com» sera autorisé quelle que soit l’adresse IP actuelle du service.

Il est important de noter que pour que l'option « tls-host » soit efficace, le service distant doit prendre en charge l'utilisation de noms d'hôtes au lieu d'adresses IP. Tous les services ou applications ne permettent pas cette flexibilité, il est donc crucial de consulter la documentation du service spécifique que vous utilisez.

 Comment bloquer les sites Web HTTPS avec TLS Host Matcher

1. Accédez à l'élément de menu IP > Pare-feu et cliquez sur l'onglet Règles de filtrage, puis cliquez sur le SIGNE PLUS (+). La fenêtre Nouvelle règle de pare-feu apparaît.
2. Choisissez Suivant dans le menu déroulant Chaîne.
3. Choisissez TCP dans le menu déroulant Protocole.
4. Cliquez sur Heure d'heure. Port et case d'entrée portuaire 443.
5. Cliquez sur l'onglet Avancé, puis sur la zone de saisie Hôte TLS et placez le nom de domaine que vous souhaitez bloquer (tel que *.facebook.com) dans cette zone.
6. Cliquez sur l'onglet Action et choisissez Déposer dans le menu déroulant Action.
7. Cliquez sur Appliquer et sur le bouton OK.

Règle de pare-feu par commande

/ip pare-feu filtre ajouter chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop